Configurar Microsoft Defender Antivírus em um ambiente de infraestrutura de área de trabalho remota ou área de trabalho virtual

  • Artigo

Aplica-se a:

Plataformas

  • Windows

Dica

Este artigo foi projetado apenas para clientes que estão usando recursos Microsoft Defender Antivírus. Se você tiver Microsoft Defender para Ponto de Extremidade (que inclui Microsoft Defender Antivírus ao lado de recursos adicionais de proteção de dispositivo), ignore este artigo e prossiga para dispositivos VDI (infraestrutura de área de trabalho virtual) não persistentes no Microsoft Defender XDR.

Você pode usar Microsoft Defender Ambiente de VDI (área de trabalho remota) ou VDI (área de trabalho virtual não persistente). Seguindo as diretrizes deste artigo, você pode configurar atualizações para baixar diretamente em seus ambientes RDS ou VDI quando um usuário entra.

Este guia descreve como configurar Microsoft Defender Antivírus em suas VMs para uma proteção e desempenho ideais, incluindo como:

Importante

Embora uma VDI possa ser hospedada em Windows Server 2012 ou Windows Server 2016, as VMs (máquinas virtuais) devem estar executando Windows 10, versão 1607 no mínimo, devido ao aumento das tecnologias de proteção e recursos que não estão disponíveis em versões anteriores do Windows.

Configurar um compartilhamento de arquivos VDI dedicado para inteligência de segurança

Em Windows 10, versão 1903, a Microsoft introduziu o recurso de inteligência de segurança compartilhada, que descarrega a descompactação de atualizações de inteligência de segurança baixadas em um computador host. Esse método reduz o uso de recursos de CPU, disco e memória em computadores individuais. A inteligência de segurança compartilhada agora funciona em Windows 10, versão 1703 e posterior. Você pode configurar esse recurso usando Política de Grupo ou PowerShell, conforme descrito na tabela a seguir:

Método Procedimento
Política de grupo 1. No computador de gerenciamento Política de Grupo, abra o Console de Gerenciamento Política de Grupo, clique com o botão direito do mouse no objeto Política de Grupo que você deseja configurar e selecione Editar.

2. No Editor de Gerenciamento de Política de Grupo, acesse Configuração do computador.

Selecione Modelos administrativos.

Expanda a árvore para componentes> do Windows Microsoft Defender Atualizações do Antivírus>Security Intelligence.

3. Clique duas vezes em Definir local de inteligência de segurança para clientes VDI e defina a opção como Habilitada. Um campo é exibido automaticamente.

4. Insira \\<sharedlocation\>\wdav-update (para obter ajuda com esse valor, consulte Baixar e descompactar).

5. Selecione OK.

Implante o GPO nas VMs que você deseja testar.
PowerShell 1. Em cada dispositivo RDS ou VDI, use o seguinte cmdlet para habilitar o recurso: Set-MpPreference -SharedSignaturesPath \\<shared location>\wdav-update.

2. Pressione a atualização como normalmente você enviaria políticas de configuração baseadas no PowerShell para suas VMs. (Confira a seção Baixar e desempacotar a entrada de <local> compartilhado.)

Baixar e desempacotar as atualizações mais recentes

Agora você pode começar a baixar e instalar novas atualizações. Criamos um script de exemplo do PowerShell para você abaixo. Esse script é a maneira mais fácil de baixar novas atualizações e prepará-las para suas VMs. Em seguida, você deve definir o script para ser executado em um determinado momento no computador de gerenciamento usando uma tarefa agendada (ou, se estiver familiarizado com o uso de scripts do PowerShell no Azure, Intune ou SCCM, você também poderá usar esses scripts).

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

Você pode definir uma tarefa agendada para ser executada uma vez por dia para que sempre que o pacote for baixado e descompactado, as VMs receberão a nova atualização. Sugerimos começar uma vez por dia, mas você deve experimentar aumentar ou diminuir a frequência para entender o impacto.

Pacotes de inteligência de segurança normalmente são publicados uma vez a cada três ou quatro horas. A configuração de uma frequência menor que quatro horas não é aconselhável porque aumentará a sobrecarga de rede em seu computador de gerenciamento sem nenhum benefício.

Você também pode configurar seu servidor ou computador único para buscar as atualizações em nome das VMs em um intervalo e colocá-las no compartilhamento de arquivos para consumo. Essa configuração é possível quando os dispositivos têm o compartilhamento e o acesso de leitura (permissões NTFS) ao compartilhamento para que eles possam obter as atualizações. Para configurar essa configuração, siga estas etapas:

  1. Create um compartilhamento de arquivo SMB/CIFS.

  2. Use o exemplo a seguir para criar um compartilhamento de arquivos com as seguintes permissões de compartilhamento.

    PS c:\> Get-SmbShareAccess -Name mdatp$

Name   ScopeName AccountName AccessControlType AccessRight
----   --------- ----------- ----------------- -----------
mdatp$ *         Everyone    Allow             Read

    Observação

    Uma permissão NTFS é adicionada para Usuários Autenticados:Leitura:.

    Para este exemplo, o compartilhamento de arquivos é:

    \\fileserver.fqdn\mdatp$\wdav-update

Definir uma tarefa agendada para executar o script do PowerShell

  1. No computador de gerenciamento, abra o menu Iniciar e digite Agendador de Tarefas. Abra-a e selecione Create tarefa... no painel lateral.

  2. Insira o nome como descompactador de inteligência de segurança. Acesse a guia Gatilho . Selecione Novo...>Diariamente e selecione OK.

  3. Acesse a guia Ações . Selecione Novo... Insira o PowerShell no campo Programa/Script . Insira -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1 no campo Adicionar argumentos . Clique em OK.

  4. Configure qualquer outra configuração conforme apropriado.

  5. Selecione OK para salvar a tarefa agendada.

Você pode iniciar a atualização manualmente clicando com o botão direito do mouse na tarefa e selecionando Executar.

Baixar e desempacotar manualmente

Se preferir fazer tudo manualmente, veja o que fazer para replicar o comportamento do script:

  1. Create uma nova pasta na raiz do sistema chamada wdav_update para armazenar atualizações de inteligência, por exemplo, crie a pasta c:\wdav_update.

  2. Create uma subpasta em wdav_update com um nome GUID, como{00000000-0000-0000-0000-000000000000}

    Aqui está um exemplo: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    Observação

    No script, definimos-o para que os últimos 12 dígitos do GUID sejam o ano, mês, dia e hora em que o arquivo foi baixado para que uma nova pasta seja criada sempre. Você pode alterar isso para que o arquivo seja baixado para a mesma pasta sempre.

  3. Baixe um pacote de inteligência de segurança da https://www.microsoft.com/wdsi/definitions pasta GUID. O arquivo deve ser nomeado mpam-fe.exe.

  4. Abra uma janela de prompt cmd e navegue até a pasta GUID que você criou. Use o comando de extração /X para extrair os arquivos, por exemplo mpam-fe.exe /X.

    Observação

    As VMs pegarão o pacote atualizado sempre que uma nova pasta GUID for criada com um pacote de atualização extraído ou sempre que uma pasta existente for atualizada com um novo pacote extraído.

Randomizar verificações agendadas

As verificações agendadas são executadas além da proteção e verificação em tempo real.

A hora de início da verificação em si ainda é baseada na política de verificação agendada (ScheduleDay, ScheduleTime e ScheduleQuickScanTime). A randomização fará com que Microsoft Defender Antivírus inicie uma verificação em cada computador dentro de uma janela de quatro horas a partir do tempo definido para a verificação agendada.

Consulte Agendar verificações de outras opções de configuração disponíveis para verificações agendadas.

Usar verificações rápidas

Você pode especificar o tipo de verificação que deve ser executada durante uma verificação agendada. As verificações rápidas são a abordagem preferida, pois são projetadas para procurar em todos os lugares onde o malware precisa residir para estar ativo. O procedimento a seguir descreve como configurar exames rápidos usando Política de Grupo.

  1. Em seu Política de Grupo Editor, acesse Modelos administrativos Componentes>do WindowsMicrosoft Defender Verificação antivírus>>.

  2. Selecione Especificar o tipo de verificação a ser usado para uma verificação agendada e edite a configuração da política.

  3. Defina a política como Habilitada e, em Opções, selecione Verificação rápida.

  4. Selecione OK.

  5. Implante seu objeto de Política de Grupo como de costume.

Impedir notificações

Às vezes, Microsoft Defender notificações antivírus são enviadas ou persistem em várias sessões. Para ajudar a evitar a confusão do usuário, você pode bloquear a interface do usuário Microsoft Defender Antivírus. O procedimento a seguir descreve como suprimir notificações usando Política de Grupo.

  1. No Política de Grupo Editor, acesse componentes do Windows Microsoft DefenderInterface do ClienteAntivírus>>.

  2. Selecione Suprimir todas as notificações e edite as configurações da política.

  3. Defina a política como Habilitada e selecione OK.

  4. Implante seu objeto de Política de Grupo como de costume.

A supressão de notificações impede que as notificações Microsoft Defender Antivírus apareceram quando as verificações são feitas ou ações de correção são tomadas. No entanto, sua equipe de operações de segurança verá os resultados de uma verificação se um ataque for detectado e interrompido. Alertas, como um alerta de acesso inicial, são gerados e serão exibidos no portal Microsoft Defender.

Desabilitar verificações após uma atualização

Desabilitar uma verificação após uma atualização impedirá que uma verificação ocorra após receber uma atualização. Você pode aplicar essa configuração ao criar a imagem base se você também tiver executado uma verificação rápida. Dessa forma, você pode impedir que a VM recém-atualizada realize uma verificação novamente (já que você já a examinou quando criou a imagem base).

Importante

Executar verificações após uma atualização ajudará a garantir que suas VMs estejam protegidas com as atualizações mais recentes de inteligência de segurança. Desabilitar essa opção reduzirá o nível de proteção de suas VMs e só deve ser usado ao criar ou implantar a imagem base pela primeira vez.

  1. Em seu Política de Grupo Editor, acesse componentes do Windows Microsoft Defender Atualizações de Inteligência deSegurançaAntivírus>>.

  2. Selecione Ativar a verificação após a atualização de inteligência de segurança e edite a configuração da política.

  3. Defina a política como Desabilitada.

  4. Selecione OK.

  5. Implante seu objeto de Política de Grupo como de costume.

Essa política impede que uma verificação seja executada imediatamente após uma atualização.

Desabilitar a opção ScanOnlyIfIdle

Use o cmdlet a seguir para interromper uma verificação rápida ou agendada sempre que o dispositivo ficar ocioso se estiver no modo passivo.

Set-MpPreference -ScanOnlyIfIdleEnabled $false

Você também pode desabilitar a opção ScanOnlyIfIdle no Microsoft Defender Antivírus por configuração por meio da política local ou de grupo de domínio. Essa configuração impede uma contenção significativa da CPU em ambientes de alta densidade.

Para obter mais informações, consulte Iniciar a verificação agendada somente quando o computador estiver ativado, mas não em uso.

Verificar VMs que foram offline

  1. Em seu Política de Grupo Editor, acesse componentes do WindowsMicrosoft Defender Verificação antivírus>>.

  2. Selecione Ativar a verificação rápida de catch-up e edite a configuração da política.

  3. Defina a política como Habilitada.

  4. Clique em OK.

  5. Implante seu objeto Política de Grupo como normalmente faz.

Essa política força uma verificação se a VM perdeu duas ou mais verificações agendadas consecutivas.

Habilitar o modo de interface do usuário sem cabeça

  1. No Política de Grupo Editor, acesse componentes do Windows Microsoft DefenderInterface do ClienteAntivírus>>.

  2. Selecione Habilitar modo de interface do usuário sem cabeça e edite a política.

  3. Defina a política como Habilitada.

  4. Clique em OK.

  5. Implante seu objeto Política de Grupo como normalmente faz.

Essa política oculta toda a interface do usuário Microsoft Defender Antivírus de usuários finais em sua organização.

Exclusões

Se você achar que precisa adicionar exclusões, consulte Gerenciar exclusões para Microsoft Defender para Ponto de Extremidade e Microsoft Defender Antivírus.

Confira também

Se você estiver procurando informações sobre o Defender para Ponto de Extremidade em plataformas que não são do Windows, confira os seguintes recursos:

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.